암호화 수출 규제는 왜 늘 실패했나: PGP부터 미토스까지 30년의 교훈

"암호는 무기다"라던 시대, 그리고 늘 실패한 수출 규제

오늘은 코드보다는 역사와 정책 이야기인데요, 보안에 관심 있는 개발자라면 꼭 알아둘 만한 흐름이에요. 한 외신이 'PGP에서 미토스(Mythos)까지'라는 제목으로, 정부가 암호화 기술과 해킹 도구의 수출을 막으려 한 30년의 역사를 정리했거든요. 결론부터 말하면, 이런 수출 규제는 단 한 번도 기술 확산을 제대로 막지 못했다는 거예요.

PGP와 '암호 전쟁(Crypto Wars)'

이야기는 1990년대로 거슬러 가요. 필 짐머만(Phil Zimmermann)이라는 사람이 누구나 이메일을 강력하게 암호화할 수 있는 PGP(Pretty Good Privacy)라는 프로그램을 만들어 무료로 풀었거든요. 그런데 당시 미국 정부는 강력한 암호화 기술을 '군수품(munitions)', 그러니까 미사일이나 전차랑 같은 등급의 수출 통제 대상으로 분류하고 있었어요. 암호가 적국이나 범죄자 손에 들어가면 도청이 불가능해진다는 이유였죠. 그래서 짐머만은 PGP를 해외에 '수출'했다는 혐의로 몇 년간 수사를 받았어요.

여기서 유명한 저항의 풍경들이 나와요. 사람들은 암호 알고리즘인 RSA를 단 몇 줄의 펄(Perl) 코드로 적어 티셔츠에 인쇄해 입고 다녔어요. "이 티셔츠를 입고 국경을 넘으면 무기 밀수인가?"라고 조롱한 거죠. 심지어 PGP 소스 코드를 통째로 '책'으로 출판해버렸어요. 디지털 파일 수출은 막아도, 책(표현의 자유로 보호받는 출판물)은 막을 수 없으니까, 외국에서 그 책을 사다 다시 타이핑하면 그만이었던 거예요. 이런 우회들 앞에서 규제는 사실상 무력해졌고, 결국 미국은 2000년 전후로 암호 수출 규제를 크게 완화하게 돼요.

스파이웨어 시대로 넘어와서

그런데 똑같은 일이 형태만 바꿔 반복되고 있어요. 요즘은 암호화 대신 스파이웨어(spyware), 그러니까 NSO그룹의 '페가수스(Pegasus)'처럼 스마트폰을 몰래 감염시켜 들여다보는 감시 도구가 통제 대상이 됐거든요. 이런 '침입 소프트웨어'의 국가 간 거래를 막으려고 바세나르 협정(Wassenaar Arrangement) 같은 국제 규약에 관련 조항을 넣기도 했고요. 기사 제목에 나온 '미토스(Mythos)'는 그 계보를 잇는 비교적 최근의 감시 도구로 등장하는데, 핵심 메시지는 똑같아요. 규제를 넣어도 기술과 인력은 다른 나라, 다른 회사로 흘러가며 계속 만들어진다는 거죠.

왜 디지털 시대엔 수출 규제가 안 통할까

이유는 생각보다 단순해요. 물리적인 무기는 공장이 있고 부피가 있어서 국경에서 막을 수 있지만, 암호 알고리즘이나 소프트웨어는 결국 '지식과 수학'이거든요. 머릿속에 있고, 종이에 적을 수 있고, 인터넷으로 1초면 복제돼요. 한 나라가 막으면 다른 나라에서 만들고, 오픈소스로 풀리면 전 세계가 동시에 갖게 돼요. 게다가 강한 암호를 막으면 정작 그걸 가장 필요로 하는 평범한 시민과 기업만 약해지고, 정말 나쁜 의도를 가진 쪽은 어떻게든 손에 넣는다는 역설도 있고요.

한국 개발자에게 주는 시사점

이게 남의 나라 옛날이야기 같지만, 사실 지금 우리한테도 직결돼요. 우리가 매일 쓰는 HTTPS, 메신저의 종단간 암호화, 깃허브에 올라온 수많은 보안 라이브러리들이 다 그 '암호 전쟁'에서 시민들이 이겨낸 결과물이거든요. 그리고 지금도 각국은 백도어 의무화나 암호화 약화 입법을 주기적으로 시도하고 있어요. 개발자로서 우리는 암호화가 단순한 기술이 아니라 프라이버시와 표현의 자유라는 가치와 얽혀 있다는 걸 이해할 필요가 있어요. 동시에 우리가 만드는 보안·감시 기술이 어떻게 쓰일 수 있는지에 대한 윤리적 감각도 같이 챙겨야 하고요.

한 줄로 정리하면, 수학으로 된 지식은 국경으로 가둘 수 없고, 그래서 암호화는 결국 모두의 것이 됐다는 거예요. 여러분은 국가가 암호화에 백도어를 의무화하려는 시도, 어떻게 생각하세요? 안전과 프라이버시 사이에서 개발자는 어느 쪽에 서야 할까요?